MongoDB 2.6.x < 2.6.9、3.0.x < 3.0.14、3.2.x < 3.2.8 mongod
high Nessus Plugin ID 122243
語系:
概要
遠端資料庫伺服器受到一個弱點影響,可能會導致拒絕服務或危害到伺服器記憶體完整性。說明
遠端 MongoDB 伺服器的版本為 2.6.9 之前的 2.6.x 版、3.0.14 之前的 3.0.x 版或 3.2.8 之前的 3.2.x 版。因此,會受到多個弱點影響。- PEMKeyPassword、clusterPassword 和 Windows servicePassword 中有一個認證洩漏弱點。未經驗證的本機攻擊者可利用此弱點來取得使用者憑證的存取權。(CVE-2014-2917)
- mongod 中 db/commands/authentication_commands.cpp 的 CmdAuthenticate: : _authenticateX509 函式中有一個拒絕服務 (DoS) 弱點。未經驗證的遠端攻擊者可利用此弱點,使用無效的 X.509 用戶端憑證進行驗證,以造成拒絕服務 (程序損毀)。(CVE-2014-3971)
- PCRE 中有堆積型緩衝區溢位情形。未經驗證的遠端攻擊者可利用此弱點,透過與允許零重複的宣告相關的特製規則運算式,造成拒絕服務或其他不明影響。(CVE-2014-8964)
- 有一個因無法檢查缺少值所致的 DoS 弱點。經驗證的遠端攻擊者可惡意利用這點,造成應用程式損毀。攻擊者需有對資料庫的寫入存取權限,才能加以惡意利用。
(CVE-2015-2705)
WiredTiger 儲存引擎中有一個資料完整性缺口弱點。經驗證的遠端攻擊者可透過發出 admin 命令,將統計資料記錄寫入至特定檔案來利用此弱點,這可能危害到資料完整性。(CVE-2017-12926)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
升級至 MongoDB 2.6.9 / 3.0.14 / 3.2.8 版或更新版本。另請參閱
https://jira.mongodb.org/browse/SERVER-13644
https://jira.mongodb.org/browse/SERVER-13753
https://jira.mongodb.org/browse/SERVER-17252
https://jira.mongodb.org/browse/SERVER-17521
Plugin 詳細資訊
嚴重性: High
ID: 122243
檔案名稱: mongodb_3_2_8.nasl
版本: 1.6
類型: remote
系列: Databases
已發布: 2019/2/15
已更新: 2022/12/20
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2017-12926
CVSS v3
風險因素: High
基本分數: 7.2
時間分數: 6.3
媒介: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:mongodb:mongodb
必要的 KB 項目: Services/mongodb
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/5/5
弱點發布日期: 2014/4/17
參考資訊
CVE: CVE-2014-2917, CVE-2014-3971, CVE-2014-8964, CVE-2015-2705, CVE-2017-12926
BID: 71206